涉密電子信息有效管控策略研究

【摘 ?要】電子文件在一定程度上加速了信息處理的工作效率，但是由于存儲(chǔ)、傳輸、使用和銷毀等操作過(guò)程中存在大量隱藏的安全風(fēng)險(xiǎn)，因此涉密電子信息的管理已經(jīng)成為一項(xiàng)重要且迫不及待的任務(wù)。本文分析了常見(jiàn)的安全風(fēng)險(xiǎn)，并從人員、系統(tǒng)、技術(shù)等方面提出了管理和保護(hù)策略，以實(shí)現(xiàn)對(duì)涉密電子信息的有效管理。

【關(guān)鍵詞】涉密電子信息;管理和控制;策略

引言：

隨著信息化技術(shù)的不斷發(fā)展，信息化時(shí)代已經(jīng)悄然而來(lái)。而電子文件的存儲(chǔ)密度高、信息整合性強(qiáng)、傳輸速度快、共享水平高的特點(diǎn)，不僅大大提高了信息處理的工作效率，但同時(shí)也對(duì)涉密電子信息管理提出了新的挑戰(zhàn)。

一、涉密電子信息常見(jiàn)安全隱患分析

（一）信息難清除、容易復(fù)制

與涉密有關(guān)的電子信息存儲(chǔ)介質(zhì)的類型很多，并且在存儲(chǔ)與涉密有關(guān)的信息之后難以完全擦除存儲(chǔ)介質(zhì)。當(dāng)前，各種存儲(chǔ)介質(zhì)被廣泛用于與涉密相關(guān)的信息系統(tǒng)中，現(xiàn)階段常見(jiàn)的存儲(chǔ)介質(zhì)包括硬盤(pán)、光盤(pán)和USB閃存驅(qū)動(dòng)器。具有可大量存儲(chǔ)信息，易于攜帶等特點(diǎn)，但同時(shí)也相對(duì)容易泄密導(dǎo)致很難進(jìn)行嚴(yán)格控制。當(dāng)涉密信息存儲(chǔ)在存儲(chǔ)介質(zhì)中時(shí)，即使通過(guò)諸如文件刪除和存儲(chǔ)介質(zhì)格式的措施也難以完全去除涉密信息。例如，在諸如硬盤(pán)之類的磁性介質(zhì)的情況下，即使在使用覆蓋方法重復(fù)重寫(xiě)之后，仍存在通過(guò)磁性顯微技術(shù)進(jìn)行恢復(fù)的可能性[1]。

（二）技術(shù)依賴強(qiáng)，范圍易擴(kuò)大

信息知密范圍容易擴(kuò)大，技術(shù)的復(fù)雜性和依賴性將涉密人員的范圍擴(kuò)展到涉及涉密計(jì)算機(jī)信息系統(tǒng)的設(shè)計(jì)、安裝、管理和使用的人員。此外，常用的操作系統(tǒng)和軟件也有其自身的漏洞，如果被惡意使用，就有可能導(dǎo)致信息泄露。

（三）信息易受攻，電磁也泄密

信息容易受到攻擊。諸如漏洞攻擊、特洛伊木馬移植、密碼破解和病毒破壞之類的攻擊方法正變得越來(lái)越強(qiáng)大，導(dǎo)致黑客入侵目標(biāo)計(jì)算機(jī)以進(jìn)行涉密訪問(wèn)、數(shù)據(jù)篡改和信息盜竊更為容易。同時(shí)，信息系統(tǒng)的設(shè)備在工作時(shí)會(huì)通過(guò)地線、電源線、信號(hào)線、寄生電磁信號(hào)或諧波輻射，都有可能導(dǎo)致電磁泄漏。當(dāng)前，利用計(jì)算機(jī)電磁泄漏來(lái)竊取信息已成為國(guó)內(nèi)外情報(bào)機(jī)構(gòu)獲取信息的重要途徑。因此，鑒于新形式和新情況的出現(xiàn)，有必要注意電磁波泄漏的問(wèn)題，以防止信息電磁波的泄漏[2]。

（四）載體易混用，保護(hù)不到位

涉密人員是疏忽大意，與涉密有關(guān)的載體和與非涉密有關(guān)的載體是混雜的，因此不提供安全保護(hù)。由于缺乏警惕或出于便利的貪婪，有些員工會(huì)混合使用涉密和非涉密媒體，例如，未經(jīng)許可擅自連接到涉密相關(guān)網(wǎng)絡(luò)的個(gè)人計(jì)算機(jī)，或?qū)€(gè)人計(jì)算機(jī)與包含涉密相關(guān)信息的移動(dòng)運(yùn)營(yíng)商相連接。

二、涉密電子信息的管控策略

（一）加強(qiáng)人員培訓(xùn)，提高保密意識(shí)和能力

無(wú)論情況如何變化，加強(qiáng)涉密人員的教育，提高涉密人員的認(rèn)能力是非常重要的。定期進(jìn)行培訓(xùn)以普及涉密知識(shí)。提高涉密意識(shí)，將涉密義務(wù)作為一項(xiàng)自覺(jué)行動(dòng)，樹(shù)立高度的責(zé)任感和使命感，并有效地維護(hù)涉密信息安全。對(duì)相關(guān)人員進(jìn)行了計(jì)算知識(shí)、數(shù)字通信技術(shù)等的培訓(xùn)。通過(guò)系統(tǒng)的強(qiáng)化教育，實(shí)現(xiàn)了科學(xué)的涉密管理，使其可以能夠快速學(xué)習(xí)電子文檔管理的基本技能，滿足信息技術(shù)發(fā)展的需要。遵循嚴(yán)格管理、嚴(yán)格預(yù)防措施，安全性和易用性的原則，并具有一定的技術(shù)預(yù)防能力，在日常工作中可以很好地管理和使用涉密文檔[3]。

（二）加強(qiáng)制度建設(shè)，規(guī)范涉密電子文件的管理

根據(jù)時(shí)代發(fā)展，繼續(xù)建立和完善相關(guān)制度，在制度層面規(guī)范相關(guān)人員行為，加強(qiáng)對(duì)涉密電子文件和電子媒體的管理。例如，建立和完善用于與涉密相關(guān)的計(jì)算機(jī)的管理系統(tǒng)，實(shí)施專人管理和使用特殊機(jī)器，對(duì)涉密數(shù)據(jù)的存儲(chǔ)和傳輸采取加密保護(hù)措施，以及個(gè)人移動(dòng)存儲(chǔ)設(shè)備禁止涉密訪問(wèn)相關(guān)的計(jì)算機(jī)、Internet和其他公共信息網(wǎng)絡(luò)實(shí)現(xiàn)了物理隔離，并且不應(yīng)使用具有無(wú)線互連功能的計(jì)算機(jī)來(lái)處理涉密信息。建立和完善用于使用、復(fù)制、傳輸、存儲(chǔ)和銷毀涉密電子文檔的系統(tǒng)。對(duì)于涉密電子文件和存儲(chǔ)介質(zhì)，必須指出涉密性級(jí)別，注冊(cè)號(hào)和專用柜臺(tái)存儲(chǔ)。沒(méi)有特殊情況，不能將包含涉密信息的移動(dòng)存儲(chǔ)設(shè)備帶入公共場(chǎng)所或從公共場(chǎng)所帶出。如果必須攜帶進(jìn)行工作，則需要與至少兩個(gè)人一起旅行，以免流失、濫用等情況。建立涉密移動(dòng)存儲(chǔ)設(shè)備的維護(hù)、更換和處置系統(tǒng)。

（三）加強(qiáng)技術(shù)研究，保障涉密電子文件的安全

電子文件賴以生存的計(jì)算機(jī)和網(wǎng)絡(luò)充滿了不安全的因素和隱患，嚴(yán)重威脅著電子信息的安全性和完整性。所謂“知己知彼，百戰(zhàn)不殆”，因此需要了解電子信息的生產(chǎn)、存儲(chǔ)、使用、傳輸和破壞所涉及的各種技術(shù)，以便進(jìn)行管理并充分利用電子信息。只有了解可疑人員用來(lái)竊取涉密的技術(shù)手段，才能在事件發(fā)生之前采取預(yù)防措施，阻止他們竊取涉密。因此，有必要加強(qiáng)技術(shù)研究并采取有針對(duì)性的技術(shù)措施以確保信息安全[4]。

（四）加強(qiáng)監(jiān)管傳輸通道

電子文件的使用不可避免地在設(shè)備之間轉(zhuǎn)移。因此，在技術(shù)上加強(qiáng)了對(duì)計(jì)算機(jī)輸入和輸出通道的監(jiān)視，以防止泄漏。此外，應(yīng)刪除所有不需要的接口，應(yīng)通過(guò)軟件和硬件限制使用的接口，應(yīng)關(guān)閉所有未使用的端口，并應(yīng)加強(qiáng)監(jiān)視以防止非法打開(kāi)。防止信息的非法傳輸并加強(qiáng)日志記錄管理功能，禁止未經(jīng)授權(quán)使用記錄儀等移動(dòng)媒體，以防止未經(jīng)授權(quán)的文件復(fù)制，禁止使用紅外和藍(lán)牙等無(wú)線通信端口，禁止無(wú)線通信應(yīng)避免傳輸通過(guò)公共傳輸渠道對(duì)涉密相關(guān)信息進(jìn)行監(jiān)控，加強(qiáng)網(wǎng)絡(luò)傳輸監(jiān)控，確保網(wǎng)絡(luò)通信信息不被竊聽(tīng)或篡改[5]。

三、結(jié)束語(yǔ)

對(duì)于重要的與涉密有關(guān)的單位，例如軍事單位和軍事工業(yè)企業(yè)，大量電子文件是涉密的，甚至是最高涉密的，如果信息泄漏，損失將是無(wú)法估量的。因此，對(duì)電子文檔管理技術(shù)的研究具有重要的現(xiàn)實(shí)意義。本文分析了電子分類信息的常見(jiàn)安全風(fēng)險(xiǎn)，提出了電子分類信息的管理和控制策略。當(dāng)然，一個(gè)相對(duì)完整的與涉密有關(guān)的電子文檔管理和控制程序包括人員、技能、管理、使用，并且不僅需要全面使用多種技術(shù)，而且還充分考慮了單位的實(shí)際要求。電子文件管理和應(yīng)用模式的總體規(guī)劃不僅滿足了用戶的習(xí)慣，而且還有效地控制了從創(chuàng)建、編輯、存儲(chǔ)、分發(fā)、回收到徹底刪除電子文件的整個(gè)生命周期，并通過(guò)各種可能的方式防止信息泄漏。信息安全是一個(gè)動(dòng)態(tài)的發(fā)展過(guò)程，隨著技術(shù)的發(fā)展，對(duì)涉密電子文件的有效管理和控制的研究應(yīng)繼續(xù)下去。

參考文獻(xiàn)：

[1]李康，陳清華. 利用RemoteApp實(shí)現(xiàn)涉密電子信息集中管控系統(tǒng)的安全在線編輯[J]. 計(jì)算機(jī)應(yīng)用與軟件，2019，036（011）：311-314，321.

[2]武曉明. 加強(qiáng)電子信息管理的有效策略探討[J]. 城市建設(shè)理論研究（電子版），2019，No.283（01）：184-184.

[3]阿依努爾·努爾哈畢. 涉密類信息戶籍化全過(guò)程管理研究[J]. 數(shù)字技術(shù)與應(yīng)用，2020，v.38;No.358（04）：244+246.

[4]王晨，李鎖雷. 電子文檔密級(jí)標(biāo)識(shí)技術(shù)應(yīng)用研究[J]. 中國(guó)信息化，2019，000（004）：63-64.

[5]彭澎. 電子政務(wù)信息安全保密管理研究[J]. 企業(yè)文化（中旬刊），2019，000（001）：193.

作者簡(jiǎn)介：

段立軍，1989年1月，男，陜西渭南，碩士研究生，研究方向：保密管理。

（作者單位：中國(guó)電子科技集團(tuán)公司第二十研究所）